thereone

都用 softether 不就行了，这个三层二层完全没有问题特别是你这种场景的需求。

异地互联用 ipv6 比什么内网穿透好而且也更容易打满带宽，用 softether 可以做一个 4to6 的隧道跑二层或者三层都行而且软件自带 ddns 都不要再单独搞一个 ddns 了。ipv6 在 pt 的使用中也很广泛啊。

那就简单了何必用阿里的呢？路由器运行一个 softether 软件就会自动有一个 softher 的 ddns 的域名同时也可以自定义前缀。然后买一个国外的域名用支付宝的再设置一个 cname 解析到这个 softether 的这个域名上面就行。

@DoubleKing 不要返回 400 的错误返回 400 的错误代表你这里有一个能显示页面的网站，用 444 直接就是关闭连接访问不正确直接关闭连接，浏览器会直接显示无法访问此页面这样才是最好的，只有正确的访问才会显示页面。

@thereone 最终达成的效果就是访问
https://x.x.x.x:12345 IP 地址加端口 返回 444 关闭连接不让访问
https://x.x.x.x:12345/qunhui IP 地址加端口加正确的目录 返回 444 关闭连接不让访问
https://xxxx.com:12345 域名加端口 返回 444 关闭连接不让访问
https://xxxx.com:12345/qunhui 域名加端口加正确路径 正常访问
达到以上效果基本就可以了对于普通人防护基本没有问题，再加强的就是不用 nginx 做反代而是内网部署一个开源 waf 用 waf 来做反代同时上一个免费防火墙针对端口扫描之类的也做防护，同时在出口路由器限制可以访问的 ip 地址基本就可以避免绝大部的扫描探测还有攻击了。最后就是勤加更新软件防止漏洞攻击。

和你一样用 nginx 反代，防护做了一点把 nginx 的默认访问改成返回 444 ，比如 https://xxxx.com:12345 这样能直接进入页面的改成 https://xxxx.com:12345 访问就返回 444 直接中断连接这样就只知道开放了端口不知道跑的什么东西。把要访问的修改成二级目录 https://xxxx.com:12345/qunhui 这种才能进入的同时也可以再加个简单的页面认证，这样基本就不会让人扫描出来了，扫描端口就直接给你返回 444 的连接了。可以探测到的就是你在这个端口跑了一个 nginx 服务但是用 https 是不知道你里面的路径的，一定不能用 http 传输数据就是了。

softether 客户端装在你的 win2022 上，softether 服务端装在你的无忧主机上这样就可以了

主路由不是 ROS 的如何实现？爱快高恪有没有折腾的办法或者主路由为标准的华为 AR1000V H3C VSR1000 等设备的有没有配置的方法。还是一定要把主路由从现在的更换为 ROS 。

两边都有 ipv6 的话，用 softether 搭建一个二层互通的环境就可以了。非常简单